Aldatma Sesleri: Vishing Saldırıları, MFA Zafiyetini Kullanarak Kurumsal SaaS Platformlarını Ele Geçiriyor

Telefon Çaldığında: ShinyHunters Taklidi

Mandiant'ın araştırması rahatsız edici bir eğilimi ortaya koyuyor: Tehdit aktörleri, vishing olarak bilinen, yüksek oranda hedeflenmiş, sese dayalı sosyal mühendisliği tercih ederek toplu e-posta oltalama saldırılarından vazgeçiyor. Bu özel kampanya, büyük ölçekli veri ihlalleriyle bilinen ShinyHunters gibi gruplarla ilişkilendirilen üst düzey operasyonel güvenlik ve etkili ön hazırlık tekniklerinin izlerini taşıyor.

Saldırı titizlikle organize ediliyor ve hassas bulut altyapısına erişimi olan çalışanları hedef alıyor. İlk aşama genellikle standart bir oltalama sayfası aracılığıyla kurbanın birincil şifresini toplamayı içerir. Ancak, Çok Faktörlü Kimlik Doğrulama'yı (MFA) atlatmanın kritik adımı bir telefon görüşmesiyle gerçekleştiriliyor.

Kritik Başarısızlık Noktası: MFA Kodunu Çalmak

Saldırganlar, genellikle acil bir güvenlik olayı nedeniyle acil müdahale gerektiğini iddia ederek, dahili BT veya güvenlik personelini başarıyla taklit ediyor. Amaç panik ve uyumluluk yaratmak.

Vishing süreci, tahmin edilebilir ancak etkili bir senaryoyu takip eder:

• Ön Hazırlık (Pretexting): Saldırgan kurbanı arayarak hesabının saldırı altında olduğunu veya olağandışı bir aktivite nedeniyle işaretlendiğini bildirir.
• Oturum Açma Başlatma: Telefon görüşmesi sırasında saldırgan, çalınan şifreyi kullanarak kurbanın hesabına giriş yapmaya çalışır ve bu da bir MFA istemi (SMS kodu, anlık bildirim veya TOTP) tetikler.
• Talep: Saldırgan, "kimliklerini doğrulamak" veya "kötü niyetli oturum açmayı durdurmak" için gerekli olduğunu iddia ederek, kurbana gösterilen MFA kodunu yüksek sesle okumasını veya anlık bildirim durumunda oturum açma isteğini onaylamasını ikna eder.

Bu teknik, güvenin insan unsurunu istismar eder. MFA otomatik saldırıları durdururken, kullanıcının aktif olarak ikinci faktörü sağlamaya zorlandığı durumlarda etkisiz kalır.

Neden SaaS Platformları Birincil Hedef?

Yazılım Hizmet Olarak (SaaS) platformlarını hedef alma eğilimi stratejiktir. Modern işletmeler, müşteri ilişkileri yönetimi (CRM), kurumsal kaynak planlaması (ERP) ve geliştirici araçları dahil olmak üzere kritik operasyonlar için üçüncü taraf bulut uygulamalarına büyük ölçüde güvenmektedir.

Bir saldırgan kurumsal bir SaaS hesabına erişim sağladığında, genellikle veri sızdırma, sistem değişikliği veya diğer iç kaynaklara geçişle sonuçlanan yüksek değerli kalıcılık elde eder. Mandiant, MFA'yı kırılmaz bir kalkan olarak gören kuruluşların, özellikle sofistike sosyal mühendisliğe karşı savunmalarını yeniden gözden geçirmeleri gerektiği konusunda uyarıyor.

Azaltma: Oltalama Yapılabilir MFA'nın Ötesine Geçmek

Çalışan eğitimi hala çok önemli olsa da - personelin MFA kodlarını asla telefonla paylaşmamaları öğretilse de - teknik kontroller bu özel vishing tehdidine karşı en güçlü savunmayı sunar.

CyberYuren, kuruluşları geleneksel, oltalama yapılabilir MFA yöntemlerinden donanım tabanlı çözümlere geçmeye çağırıyor:

• Oltalama Dirençli MFA: FIDO2/WebAuthn standardı anahtarlar (örneğin, YubiKey) gibi teknolojilerin uygulanması, kimlik doğrulama faktörünün yasal siteye kriptografik olarak bağlı olmasını sağlar ve telefon veya oltalama sayfaları aracılığıyla çalınan kodları işe yaramaz hale getirir.
• Gelişmiş İzleme: Olası bir ihlal girişiminden hemen sonra olağandışı oturum açma konumlarını, zamanlarını veya erişim modellerini tespit etmek için SaaS platformlarında davranışsal analitik kullanmak.